Dernières actualités : données personnelles

GPDP (autorité italienne)

L’autorité italienne donne à la plus grande banque italienne 20 jours pour informer ses clients de la violation des données qu’elle a subi

Dans un article publié ce jour, l’autorité italienne a annoncé avoir donné 20 jours à Intesa pour informer les clients concernés par la violation de leurs données personnelles et bancaires, survenue à la suite d’un accès indu de la part d’un employé de la banque aux données de plusieurs milliers de clients. L’Autorité considère, contrairement à l’évaluation de la banque, que la violation de données à caractère personnel présente un risque élevé pour les droits et libertés des personnes concernées, compte tenu de la nature de la violation, des catégories de données traitées, de la gravité et des conséquences qui pourraient en résulter (par exemple, divulgation d’informations concernant la situation financière, atteinte à la réputation).

L’autorité italienne note que, dans les premières communications envoyées par la Banque au Garante, l’ampleur de la violation n’avait pas été suffisamment mise en évidence, comme l’ont révélé par la suite tant les articles de presse que les commentaires fournis par la Banque elle-même. La Garante, qui se réserve le droit d’évaluer l’adéquation des mesures de sécurité adoptées dans le cadre d’une enquête en cours, a ainsi également ordonné à la Banque de fournir à l’Autorité, dans un délai de trente jours, un retour d’information suffisamment documenté sur les mesures prises pour mettre pleinement en œuvre les exigences.

[Ajout contextuel Portail RGPD: La presse note en particulier que les comptes de 3 500 clients d’Intesa Sanpaolo, y compris ceux de la Première ministre Giorgia Meloni et de l’ancien Premier ministre Mario Draghi, ont été potentiellement été compromis entre février 2022 et avril 2024 et ont été indument consultés par l’employé concerné. Normalement, les employés d’Intesa n’ont de visibilité que sur les clients dont ils ont besoin de voir les données pour exercer leurs fonctions. Néanmoins, du fait de sa fonction, l’employé concerné avait accès à de très nombreuses données, et en a profité.]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DVI (autorité lettonne)

#DVIexplains : quelles sont les erreurs les plus courantes en matière de bannières de cookies ?

Dans nos lignes directrices sur l’utilisation des cookies sur les sites web, nous avons déjà expliqué les bonnes et les mauvaises pratiques en matière de placement de bannières de cookies ou de fenêtres contextuelles sur les sites web des organisations. Nous avons également expliqué la nature des cookies et la raison de leur traitement dans la section « Que dois-je savoir sur les cookies ? Cependant, dans la pratique, nous rencontrons encore des sites web qui n’incluent pas d’avis sur les cookies, qui ne fonctionnent pas ou qui ne sont pas configurés comme il se doit. Nous avons également trouvé des cas où l’avis relatif aux cookies est correctement paramétré, mais où, dans la pratique, les cookies sont toujours traités, par exemple si le visiteur n’a pas consenti à l’utilisation facultative des cookies. C’est pourquoi, dans cette explication, nous nous concentrerons à nouveau sur la non-conformité la plus importante et la plus facilement perceptible, à savoir les bannières de cookies mal créées.

Ainsi, dans ses recommandations se trouvant dans l’article ci-dessous, l’autorité rappelle (cas pratiques à l’appui) que :
* La bannière relative aux cookies doit être simple, sans informations inutiles ou trompeuses. Cette bannière doit fournir au visiteur des informations pratiques sur les cookies qui seront traités sans son consentement (fonctionnels) et sur les cookies pour lesquels il a la possibilité de donner son accord s’il le souhaite. Si le site web a l’intention de collecter UNIQUEMENT des cookies fonctionnels (pour lesquels le consentement n’est pas requis), une brève description peut être fournie et un bouton tel que « compris » peut être ajouté.
* Si le consentement est requis pour des cookies facultatifs, tels que les statistiques, le contenu personnalisé ou les cookies de marketing, vous devez avoir la possibilité d’exprimer votre accord ou votre désaccord. Toute bannière relative aux cookies doit également inclure un lien (bouton) vers des informations complémentaires, c’est-à-dire une politique en matière de cookies ou une politique de confidentialité expliquant comment les cookies sont gérés.
* L’organisation doit expliquer clairement la signification de la fenêtre contextuelle et les conséquences du choix du visiteur. Elle doit être présentée dans la langue choisie par le visiteur.  Les visiteurs du site web ne doivent pas avoir l’impression qu’ils ne pourront pas consulter le site ou qu’il ne fonctionnera pas correctement s’ils ne donnent pas leur consentement à l’utilisation de cookies facultatifs.

Disponible (en letton) sur:  dvi.gov.lv
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Données volées : l’autorité italienne annonce la création d’une task force interdépartementale

L’autorité italienne a annoncé ce jour avoir créé une task force interdépartementale afin de travailler sur le sujet des données volées.  « Le phénomène de l’accès non autorisé aux bases de données publiques et privées a toujours retenu l’attention du Garant pour la protection des données personnelles », déclare le président Pasquale Stanzione, “et il a fait l’objet, au fil des ans, de nombreuses mesures visant à renforcer les mesures de sécurité d’un point de vue technique et organisationnel”.

Suite à de récentes informations parues dans la presse, poursuit le président, nous avons créé un groupe de travail interdépartemental impliquant les secteurs concernés afin d’identifier rapidement les activités à entreprendre et les meilleures garanties pour protéger les bases de données. Nous avons notamment défini des mesures de sécurité, tant techniques qu’organisationnelles, adéquates en ce qui concerne l’accès du personnel autorisé, mais aussi toutes les opérations effectuées par les personnes chargées de leur gestion et de leur maintenance. En plus de poursuivre les activités d’inspection auprès des entreprises déjà identifiées ».

Ces dernières années, en effet, les rapports reçus font état d’une augmentation du phénomène lié à la revente d’informations confidentielles contenues dans des bases de données publiques par des sociétés privées« , conclut M. Stanzione, “qui, en recourant également à des agences d’enquête privées, offrent des services d” »information d’investigation« à toute personne intéressée, y compris par le biais de mécanismes opaques de récupération de données ».

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Sanction de 80.000 euros à une entreprise qui faisait des sauvegardes pendant la relation de travail

Dans sa newsletter du 22 octobre, l’autorité italienne évoque avoir sanctionné une entreprise à hauteur de 80.000 euros pour avoir, au cours de la relation de travail, utilisé un logiciel pour sauvegarder ses courriers électroniques, en conservant à la fois le contenu et les logs d’accès au courrier électronique et au système de gestion de la société. Les informations collectées ont ensuite été utilisées par l’entreprise dans le cadre d’un litige.

L’autorité rappelle qu’en Italie, l’employeur ne peut pas accéder à la messagerie électronique d’un employé ou d’un collaborateur ou utiliser un logiciel pour conserver une copie des messages. Un tel traitement de données à caractère personnel constitue non seulement une violation des règles relatives à la protection des données à caractère personnel, mais est également susceptible d’entraîner une surveillance illicite de l’employé. Elle rajoute que la conservation systématique des courriers électroniques – effectuée sur une longue période (égale à trois ans après la fin de la relation) – et la conservation systématique des journaux d’accès aux courriers électroniques et au système de gestion utilisé par les employés n’étaient pas conformes aux règles de protection des données. En effet, cette conservation n’était pas proportionnée et nécessaire pour atteindre les objectifs déclarés par l’entreprise d’assurer la sécurité du réseau informatique et la continuité de l’activité de l’entreprise.
En outre, elle a permis à l’entreprise de reconstituer en détail l’activité de l’employé, ce qui constitue une forme de contrôle interdite par le statut des travailleurs.

L’zutorité a également constaté l’inadaptation et la déficience des informations fournies aux travailleurs. En effet, le document prévoyait la possibilité pour l’employeur d’accéder aux courriels de ses employés et collaborateurs afin d’assurer la continuité des activités de l’entreprise, en cas d’absence ou de cessation de la relation, sans mentionner, entre autres, la sauvegarde et la durée de conservation correspondante. Ainsi, outre l’amende, l’autorité italienne a ordonné l’interdiction de tout traitement ultérieur de données par le biais du logiciel utilisé pour la sauvegarde des courriers électroniques.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Violation de données : l’autorité italienne sanctionne Postel à hauteur de 900 000 euros

Dans sa newsletter du 22 octobre, l’autorité italienne évoque avoir sanctionné Postel (le « La Poste » italien) en raison d’une violation survenue du fait de l’exploitation d’une vulnérabilité connue de longue date, celle-ci ayant rendu les mesures de sécurité inadéquates. En août 2023, l’entreprise a été la cible d’une cyberattaque de type ransomware qui a provoqué le blocage des serveurs et de certains postes de travail. L’attaque a notamment entraîné l’exfiltration – et dans certains cas la perte de disponibilité – de fichiers contenant les données personnelles d’environ 25 000 personnes, y compris des employés, d’anciens employés, des parents, des titulaires de mandats sociaux, des candidats à l’emploi et des représentants d’entreprises ayant des relations d’affaires avec Postel. Les informations, publiées par la suite sur le dark web, concernaient des données personnelles et de contact, des données d’accès et d’identification, des données de paiement, ainsi que des données relatives à des condamnations pénales et à des infractions et, parmi les personnes appartenant à des catégories spéciales, des données révélant l’appartenance à un syndicat et la santé.

Bien que la vulnérabilité relative à Microsoft Exchange ait été signalée, d’abord par le fabricant du logiciel (septembre 2022, les mises à jour nécessaires étant disponibles en novembre 2022), puis par l’Agence nationale de cybersécurité (novembre 2022), Postel n’a pas mis à jour ses systèmes comme recommandé. L’entreprise a ainsi manqué à ses obligations au titre de la réglementation sur la protection des données, qui l’oblige à prendre des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque. L’enquête a également révélé que, dans la notification de la violation de données à la Garante et dans les compléments ultérieurs, l’entreprise n’avait pas fourni d’informations exhaustives sur la violation et sur les mesures d’atténuation ou d’élimination des vulnérabilités constatées, ce qui a entraîné un allongement du délai nécessaire aux vérifications de l’autorité.

L’autorité italienne a ainsi ordonné à Postel, outre le paiement d’une amende de 900 000 euros, de mener une action extraordinaire pour analyser les vulnérabilités de ses systèmes, préparer un plan de détection et de gestion de ces vulnérabilités, et identifier des temps de détection et de réponse adaptés au risque.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

AEPD (autorité espagnole)

Espagne : 100 000 euros d’amende pour un transfert intra-groupe illicite

Ce vendredi 18 octobre, l’AEPD a publié une décision de sanction à l’encontre d’une société pour avoir réalisé un transfert de données personnelles intra-groupe sans base légale.
Le 13 avril 2023, un plaignant a déposé une réclamation auprès de l’Agence Espagnole de Protection des Données (AEPD) contre CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO, S.A.U. pour avoir transmis ses données personnelles sans son consentement à une autre société appartenant au même groupe, Iberdrola Clientes.Le plaignant a indiqué avoir contacté Curenergía pour conclure un contrat d’électricité, mais ses données (y compris son NIF, IBAN, nom, adresse et autres) ont été utilisées pour établir un contrat avec Iberdrola Clientes, une société avec laquelle il n’avait jamais eu de relation commerciale.

L’enquête menée par l’AEPD a révélé qu’il y avait eu une erreur de la part de Curenergía dans la gestion du contrat avec le plaignant. En effet, le même centre d’appel était utilisé par les deux sociétés et, lors du traitement de la demande du plaignant, une confusion a entraîné l’envoi des données personnelles du plaignant à Iberdrola Clientes, ce qui a abouti à l’élaboration d’un contrat erroné. Curenergía a reconnu l’erreur et l’a rectifiée rapidement après que le plaignant a signalé le problème.

Néanmoins, l’AEPD a considéré que Curenergía avait enfreint l’article 6(1) du RGPD en traitant les données du plaignant sans base légale appropriée. L’autorité a infligé à Curenergía une amende de 100 000 €, avec possibilité de réduction en cas de paiement volontaire et de reconnaissance de responsabilité. Curenergía a choisi de payer l’amende réduite à 60 000 €.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Une PME condamnée à 3000 euros d’amende pour avoir mal paramétré la liste des destinataires de son mail

L’AEPD a annoncé avoir prononcé une amende de 3000 euros à l’encontre d’une entreprise pour avoir failli à son obligation de sécurité et de confidentialité des données. Comme souvent, cette affaire commence avec une réclamation auprès de l’AEPD en date du 11 mai 2023, le plaignant accusant CLIDEA DESARROLLO, S.A. d’avoir divulgué les adresses e-mail de 349 destinataires, tous travailleurs indépendants pour l’entreprise. Le plaignant a signalé que l’entreprise avait envoyé un e-mail collectif sans utiliser la fonction de copie cachée, rendant visibles les adresses e-mail à tous les destinataires. De plus, ces adresses e-mail contenaient souvent des informations personnelles, telles que des noms et prénoms.

L’enquête menée par l’autorité espagnole a confirmé que CLIDEA DESARROLLO, S.A. avait manqué à son obligation de protéger la confidentialité des données en ne respectant pas l’article 5.1.f) du RGPD, qui exige une sécurité adéquate des données personnelles. L’absence de copie cachée a entraîné la divulgation non autorisée d’informations personnelles, compromettant ainsi la confidentialité des données des destinataires. L’AEPD a également noté que l’entreprise avait failli à son obligation de mise en œuvre des mesures techniques appropriées, conformément à l’article 32 du RGPD, pour éviter une telle divulgation.

En conséquence, l’AEPD  une amende totale de 3 000 € à CLIDEA DESARROLLO, S.A., pour violation du principe de confidentialité des données (article 5) et manquement au principe de sécurité (article 32). Selon la procédure espagnole, l’autorité a offert à l’entreprise la possibilité de réduire l’amende de 20 % en cas de reconnaissance de responsabilité et de paiement volontaire, ce qui ramènerait le total à 1 800 €. CLIDEA DESARROLLO, S.A. a effectué le paiement avec réduction, mettant ainsi fin à la procédure tout en renonçant à tout recours administratif contre la sanction.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD publie une analyse sur la protection des enfants et des adolescents dans l’environnement numérique

Ce 2 octobre 2024, l’Agence espagnole de protection des données (AEPD) a publié une note technique intitulée « Internet sûr par défaut pour les enfants et le rôle de la vérification de l’âge », dans laquelle elle analyse la manière dont les enfants et les adolescents peuvent être protégés sur Internet sans que cela n’entraîne une surveillance et une atteinte à la vie privée de tous les utilisateurs, et sans que les enfants soient localisés et exposés à de nouveaux risques. Cette analyse se concentre sur l’obligation de respecter les principes de protection des données énoncés dans le règlement général sur la protection des données (RGPD), ainsi que d’autres réglementations qui complètent ou approfondissent la protection des mineurs.

Il est notamment expliqué qu’à l’heure actuelle, de nombreux services Internet utilisent l’une des deux stratégies de protection suivantes :
* Une modération a posteriori, c’est à dire réaction une fois qu’il a été détecté qu’un dommage ou un impact s’est déjà produit.
* Une modération a priori, basée sur la connaissance de la qualité de mineur des personnes, par exemple en créant des espaces ou des comptes spécifiques pour les enfants. Ces stratégies nécessitent néanmoins une intervention intrusive sous forme de surveillance ou de profilage qui viole la vie privée de tous les utilisateurs.

En réponse, l’AEPD présente différentes stratégies de protection des enfants et des adolescents sur l’internet, en définissant différents cas d’utilisation : protection contre les contenus inappropriés, environnements sûrs pour les enfants, consentement au traitement des données personnelles et conception adaptée aux enfants. Chaque cas d’utilisation analysé est soumis à différents cadres réglementaires et, en tant que cadre commun, au GDPR sur le traitement des données personnelles. L’Agence souligne enfin l’importance de disposer d’un système de vérification de l’âge qui maintient la charge de la preuve sur la personne qui a l’âge requis pour accéder au contenu, et jamais sur le mineur. Ainsi, le mineur n’a pas à prouver qu’il est mineur, ni à dévoiler sa nature pour faire bloquer des contenus, des contacts, des comportements ou des contrats.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD élabore des lignes directrices sur les obligations et les responsabilités liées à l’utilisation d’appareils mobiles dans les établissements d’enseignement

L’Agence espagnole de protection des données (AEPD) a publié, ce 17 septembre 2024, des lignes directrices sur les « Responsabilités et obligations dans l’utilisation des dispositifs numériques mobiles dans l’enseignement maternel, primaire et secondaire », dans lesquelles elle analyse les implications que l’utilisation de cette technologie peut avoir et les principes que les écoles et les autorités éducatives doivent respecter pour que le traitement des données personnelles dérivées de l’utilisation de ces dispositifs soit conforme aux réglementations en matière de protection des données. Ce guide s’adresse aux autorités éducatives, aux équipes de direction des écoles, aux enseignants et aux familles.

Les lignes directrices précisent les situations qui peuvent se présenter dans le cadre de la réglementation de l’utilisation des téléphones portables dans les établissements scolaires (que la possibilité de transporter des appareils soit interdite ou limitée ; qu’ils soient utilisés en classe à la demande du personnel enseignant ou qu’il y ait une absence de réglementation sur leur utilisation) et les responsabilités que chacune de ces situations implique.

De même, l’Agence souligne que l’utilisation de smartphones et d’autres appareils numériques à des fins éducatives, appartenant aux élèves et à leurs familles, peut générer un traitement de données qui affecte gravement leurs droits et libertés, en particulier leur droit à la non-discrimination et à l’éducation, à la vie privée et familiale, à l’intégrité physique et psychologique des mineurs et à la protection de leurs données personnelles, ainsi qu’à leur développement intégral en tant qu’individus.
Pour toutes ces raisons, l’Agence déconseille l’utilisation de smartphones et d’autres appareils numériques mobiles dans les centres éducatifs si l’objectif éducatif visé peut être atteint par le biais d’une autre ressource plus appropriée.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut